200805网工下午真题
第 1 题
(问题2是思科配置,略过,其余试题重点学习)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某单位有1个总部和6个分部,各个部门都有自己的局域网。该单位申请了6个C 类IP 地址202.115.10.0/24~202.115.15.0/24,其中总部与分部4共用一个C类地址。现计划将这些部门用路由器互联,网络拓扑结构如图1-1所示。
【问题1】(4 分)
该网络采用R1~R7共7台路由器,采用动态路由协议OSPF。由图1-1可见,该网络共划分了3个OSPF区域,其主干区域为 (1) ,主干区域中,(2)为区域边界路由器,(3)为区域内路由器。
【问题2】(7 分)
表1-1是该系统中路由器的IP 地址分配表。
请根据图1-1完成以下R3路由器的配置:
R3 (config)#interface e0/1 (进入接口e0/1配置模式)
R3 (config-if)#ip address 202.115.13.254 (4) (设置IP 地址和掩码)
R3(config) # interface s0/0 (进入串口配置模式)
R3(config-if) #ip address (5) 255.255.255.0 (设置IP 地址和掩码)
R3(config) # interface s0/1
R3(config-if) #ip address (6) 255.255.255.0
R3(config) # interface s0/2
R3(config-if) #ip address (7) 255.255.255.0
R3(config) # interface s0/3
R3(config-if) #ip address (8) 255.255.255.0
R3(config) # interface s0/4
R3(config-if) #ip address (9) 255.255.255.0
R3(config) # interface s0/5
R3(config-if) #ip address (10) 255.255.255.0
【问题3】 (4 分)
该单位部门4共有110台PC 机,通过交换机连接路由器R5接入网络。其中一台PC机IP 地址为202.115.13.5,则其子网掩码应为(11),网关地址应为(12)。
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(4分)
(1)Area 0 (2分)
(2)R3(1分)
(3)R1和R2(1分)
【问题2】(7分)
(4)255.255.255.128(1分)
(5)10.0.2.2至10.0.2.254之间任意一个地址(1分)
(6)10.0.1.2至10.0.1.254之间任意一个地址(1分)
(7)10.0.8.2至10.0.8.254之间任意一个地址(1分)
(8)10.0.7.2至10.0.7.254之间任意一个地址(1分)
(9)10.0.4.2至10.0.4.254之间任意一个地址(1分)
(10)10.0.5.2至10.0.5.254之间任意一个地址(1分)
【问题3】(4分)
(11)255.255.255.128 (2分)
(12)202.115.13.1(2分) - 试题解析:
【问题1】
OSPF协议采用了“区域—area”的设计,提高了网络可扩展性,并且加快了网络会聚时间。也就是将网络划分成为许多较小的区域,每个区域定义一个独立的区域号并将此信息配置给网络中的每个路由器。从理论上说,通常不应该采用实际地域来划分区域,而是应该本着使不同区域间的通信量最小的原则进行合理分配。OSPF协议配置命令如下:
network 网码地址 掩码反码 area 区域号
该命令指定与该路由器直接相联的网络。掩码反码可以用255.255.255.255减去掩码得到。区域号可以是数字,也可以是IP地址。ID为0表示是主干域,不同网络区域的路由器通过主干域学习路由。区域边界路由器(ABR)是位于一个或多个OSPF区域的一个路由器,其连接这个区域到骨干网络。ABRs被认为既是OSPF骨干区域也是内部区域的一部分。所以其既有骨干拓扑也有其他区域的拓扑路由表。在Area0区域中,可以明显的区分出,区域边界路由器为:R3,区域内路由器为:R1、R2。
【问题2】
本题考查是的为边界路由器R3端口配置IP地址即子网掩码。题中已指出,总部(使用E0端口与R3连接)与分部4(使用E0端口与R5连接)是共用同一子网,因此它们两个使用的网段及掩码是完全相同的。根据表1-1中指示的R5的E0端口配置信息为:202.115.13.1/25,因此,R3的E0端口掩码配置为:255.255.255.128。
(5)空处,要求配置R3的S0的IP地址信息,已知R3的S0的对端是R2的S1端口,两者必须在同一网段,从表1-1中已知R2的S1端口IP为:10.0.2.1/24,因此,R3的S0的IP地址配置范围只能从10.0.2.2--10.0.2.254。(6)空至(10)空可按上述方法进行推算。
【问题3】
前面提到过,分部4通过交换机接入,再通过R5的E0端口与路由器R5连接,从表1-1中可得知R5的E0端口IP为202.115.13.1,子网掩码为255.255.255.128,来作为该分部的网关。那么该分部PC的子网掩码应与其网关一致,为255.255.255.128,网关地址即E0(R5)地址:202.115.13.1。
第 2 题
(注意此题虽然考的是Win2000的配置,考试大纲为win2018,但基本概念内容差别不大,请认真注意学习) 阅读下列说明,回答问题1至问题6,将解答填入答题纸对应的解答栏内。
【说明】
某公司的两个部门均采用Windows 2003的NAT 功能共享宽带连接访问Internet,其网络结构和相关参数如图2-1所示。ISP 为该公司分配的公网IP 地址段为202.117.12.32/29。
【问题1】(2 分)
在Windows 2003中,(1)不能实现NAT 功能。
备选答案:
A. 终端服务管理器
B. Internet连接共享
C. 路由和远程访问
【问题2】(4 分)
在图2-2所示的窗口中,为部门B 的服务器2配置 “路由和远程访问”功能,新增eth0和 eth1上的网络连接。eth0 上的网络连接应该选中图 2-3 中的(2)选项进行配置,eth1上的网络连接应该选中图2-3中的(3)选项进行配置。
(2)、(3)备选答案:
A. 专用接口连接到专用网络
B. 公用接口连接到Internet
C. 仅基本防火墙
【问题3】(2 分)
部门B 中主机PC1的默认网关地址应配置为(4)才能访问Inernet。
【问题4】(2 分)
在部门B的服务器2中,如果将ISP 分配的可用公网IP 地址添加到地址池(如图2-4所示),那么服务器1收到来自部门B 的数据包的源地址可能是(5)。如果部门B中两台不同PC机同时发往公网的两个数据包的源地址相同,则它们通过(6)相互区分。
【问题5】(2 分)
在服务器2的eth1上启用基本防火墙,如果希望将202.117.12.38固定分配给IP 地址为192.168.2.10的FTP 服务器,且使得公网中主机可以访问部门B 中的FTP 服务,应该在图2-4和图2-5所示的对话框中如何配置?
【问题6】(3 分)
为了实现部门A和部门B中主机互相通信,在服务器1和服务器2上都运行了“路由和远程访问”服务,在图2-6所示的对话框中,两台服务器的静态路由信息应配置为:
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(2分)
(1)A. 终端服务管理器
【问题2】(4分)
(2)A. 专用接口连接到专用网络
(3)B. 公用接口连接到Internet
【问题3】(2分)
(4)192.168.2.8
【问题4】(2分)
(5)202.117.12.37或202.117.12.38
(6)端口号
【问题5】(2分)
在图2-4所示的对话框中单击“保留…”按钮,在弹出的对话框中选中添加,出现图2-5所示的对话框,依次填入IP地址202.117.12.38 和 192.168.1.10,然后选中“允许会话传入到此地址”,单击确定按钮。如后在图2-4所示对话框的“服务和端口”选项卡内选中“FTP服务”即可。
【问题6】(3分)
(7)192.168.2.0
(8)255.255.255.0
(9)202.117.12.37
(10)192.168.1.0
(11)255.255.255.0
(12)202.117.12.34 - 试题解析:
【问题1】
本题考查的是Windows2003Server服务器NAT功能知识的考查。Internet连接共享(Internet Connection Sharing,ICS)是Windows系统针对家庭网络或小型的Intranet网络提供的一种Internet连接共享服务。它实际上相当于一种网络地址转换(NAT)器,所谓网络地址转换器就是当数据包向前传递的过程中,可以转换数据包中的IP地址和TCP/UCP端口等地址信息。有了网络地址转换器,家庭网络或小型的办公网络中的电脑就可以使用私有地址,并且通过网络地址转换器将私有地址转换成ISP分配的单一的公用IP地址从而实现对Internet的连接。路由与远程访问RRAS也是Windows2003Server服务器提供的提供共享网络、软路由服务组件。
Windows2003提供的远程桌面功能可供多用户同时使用,在其上可以运行程序、保存文件和使用网络资源,在很多方面可以像使用终端一样,并且在管理及配置方面比原来的终端服务更方便。要更好地发挥远程桌面的作用就要对远程桌面进行相应的配置,使用终端服务配置可以更改本地计算机上该连接的属性、添加新连接或设置服务器。
【问题2】
本题要求配置路由与远程访问在的网卡参数配置,根据图2-1所示的拓扑信息,很容易了解到服务器2内网接口为Eth0 ,外部连接公网的接口为Eth1。相对应的,在本地连接属性对话框中,分别选择A. 专用接口连接到专用网络;B. 公用接口连接到Internet。
【问题3】
部门B中,PC1的网关配置信息即指定为服务器2的内网接口IP(192.168.2.8)。
【问题4】
本题考查了网络地址转换的几种形式:
NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换三种:
·静态地址转换
静态地址转换将本地地址与合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
·动态地址转换
动态地址转换也是将本地地址与合法地址进行一对一的转换,但是动态地址转换是从合法地址池中动态地选择一个末使用的地址对本地地址进行转换。
·复用动态地址转换
复用动态地址转换首先是一种动态地址转换,但是它可以允许多个本地地址共用一个合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。
·IP地址伪装
IP地址伪装是另一种特殊的NAT应用,它是M:1的翻译,即用一个路由器的IP地址将子网中的所有主机的IP地址都隐藏起来。如果子网中有多个主机要同时通信,那么还要对端口号进行翻译,所以也称为网络地址和端口翻译(NAPT)。
根据网络地址转换的相关知识,可知识来自部门B的数据包的源地址址必须在202.117.12.37/29这个公有IP网段内,该网段内可用IP地址有:202.117.12.37、202.117.12.38两个(/29,即网络位占前29位,后3位为主机标识位,37后三位:101,38后三位:110,而39显然是一个子网广播地址,不参与分配),当两台不同PC机同时发往公网的两个数据包的源地址相同,则它们通过端口号来相互区分。
【问题5】
显然题目要求将202.117.12.38这个地址固定保留给FTP服务器,应在图2-4所示的对话框中单击“保留…”按钮,在弹出的对话框中选中添加,出现图2-5所示的对话框,依次填入IP地址202.117.12.38 和 192.168.1.10,然后选中“允许会话传入到此地址”,单击确定按钮。如后在图2-4所示对话框的“服务和端口”选项卡内选中“FTP服务”即可。
【问题6】
题中,可把两台服务器看作两台独立的路由器,服务器的外网接口即路由器的外网接口,服务器的内网接口即连接的内部网络,再根据路由器的配置格式:
目标网络+网络掩码+网关(下一跳地址)+跳数
可以推断出该题的答案为:
(7)192.168.2.0
(8)255.255.255.0
(9)202.117.12.37
(10)192.168.1.0
(11)255.255.255.0
(12)202.117.12.34
第 3 题
(典型考题,请认真学习)
阅读以下关于在Linux系统中配置Apache服务器的说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
在 Linux 系统中采用Apache 配置 Web服务器。Apache服务器提供了丰富的功能,包括目录索引、目录别名、虚拟主机、HTTP 日志报告、CGI程序的SetUID 执行等。
【问题1】(6分)
请在(1)、(2)、(3)、(4)空白处填写恰当的内容。
Web客户机与服务器共同遵守(1)协议,其工作过程是:Web客户端程序根据输入的(2)连接到相应的Web服务器上,并获得指定的Web文档。动态网页以(3)程序的形式在服务器端处理,并给客户端返回(4)格式的文件。
(1)~(4)的备选项
A.HTML
B.ASP
C.JSP
D.IIS
E.SOAP
F.URL
G.HTTP
H.VGA
【问题2】(7分)
请在(5)~(11)空白处填写恰当的内容。
Apache的主配置文件为httpd.conf。某Web服务器的httpd.conf文件部分内容如下:
ServerType standalone
ServerRoot “/etc/httpd”
Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
MinSpareServers 5
MaxSpareServers 20
StartServers 8
MaxClients 150
MaxRequestsPerChild 100
Port 8080
User nobody
Group nobody
ServerAdmin root@webtest.com.cn
ServerName WebTest
DocumentRoot “/home/webtest/jakarta-tomcat/webapps/webtest”
Options FollowSymLinks
AllowOverride None
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow, deny
Allow from all
DirectoryIndex index.html index.htm index.shtml index.cgi
Alias /doc/ /usr/doc/
order deny,allow
deny from all
allow from localhost
Options Indexes FollowSymLinks
以RPM方式安装的Apache服务器,配置文件httpd.conf存储在Linux的(5)目录下。根据上述配置文件,该Web服务器运行在(6)模式下,其运行效率比在inetd模式下(7);当某个Web连接超过(8)秒没有数据传输时,系统断开连接。如果客户需要访问Linux服务器上/usr/doc目录,则应在浏览器地址栏中输入(9)。虚拟主机是指在同一台服务器上实现多个Web 站点。虚拟主机可以是基于 IP 地址的虚拟主机,也可以是基于(10)的虚拟主机。创建基于(10)的虚拟主机时,还需要配置(11),并在区数据库文件中添加相关记录。
【问题3】(2分)
图3-1是配置Apache服务器的一个窗口,选中目录选项ExecCGI,意味着什么?
如果将图 3-1 所示的目录选项中 Indexes 选中状态取消,并且虚拟主机目录中也没有相关的Index文件,客户机通过浏览器访问有关的虚拟主机目录时有何后果?
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(6分)
(1)G. HTTP
(2)F. URL
(3)C. JSP
(4)A. HTML
【问题2】(7分)
(5)/etc/httpd/conf
(6)standalone
(7)高
(8)300
(9)http://www.webtest.com.cn:8080/doc
(10)名称(或名字,域名)
(11)DNS,或域名解析服务
【问题3】(2分)
选中目录选项ExecCGI,意味着准许执行CGI。
如将Indexes选中状态取消,则不允许客户机浏览器在虚拟主机没有Index文件时显示目录所有文件。 - 试题解析:
【问题1】
本题考查了WEB服务的请求与响应的整个过程,具体分析略。
【问题2】
ServerType standalone # Apache服务器工作模式。
ServerRoot “/etc/httpd” # 指定Apache的配置文件在系统中的目录。
Timeout 300 # 如果用户端超过300秒还没连上server,或server超过300秒还没传送信息给用户端,即超时。
KeepAlive On # 是否允许持续性连线,即一个连接有多个请求,可选择为On或Off。
MaxKeepAliveRequests 100 # 在持续连线中,最大允许的连接数目,设定为0表示没有限制。
KeepAliveTimeout 15 # 保持持续连线超时时间。
MinSpareServers 5 # 这两项分别设定最少和最多空闲子进程数量。
MaxSpareServers 20 # Servers参数的值可以设定在这两者之间。
StartServers 8 # 指令设置了服务器启动时建立的子进程数量。
MaxClients 150 # 最大客户连接数量。
MaxRequestsPerChild 100 # 一个服务进程允许的最大请求数,设置为0表示无限制。
Port 8080 # 设置Apache服务器监听端口,默认为80,表示监听所有IP地址的80端口。可以根据需要设置成其它端口,如8080。
User nobody
Group nobody # 执行httpd的用户和群组
ServerAdmin root@webtest.com.cn # 用来设置WEB管理员的E-Mail地址。这个地址会出现在系统连接出错的时候,以便访问者能够将情况及时地告知WEB管理员。
ServerName WebTest # 主机名称,如果没有域名,也可以用IP。
DocumentRoot “/home/webtest/jakarta-tomcat/webapps/webtest”
# 此目录为apache放置网页的地方,里面的index.html即为连到此主机的预设首页。
Options FollowSymLinks
AllowOverride None # 此目录设定用户放置网页的目录(public_html)的执行动作。
Options Indexes Includes FollowSymLinks
AllowOverride None
Order allow, deny
Allow from all # 此目录设定apache的网页目录(htdocs)的执行动作。
DirectoryIndex index.html index.htm index.shtml index.cgi # 预设的默认主页。
Alias /doc/ /usr/doc/
order deny, allow
deny from all
allow from localhost
Options Indexes FollowSymLinks
这个配置选项指定如何运行WEB服务器。Apache可以使用两种方法来运行服务器:standalone(独立的)和inetd(由inetd运行的)。standalone参数表示WEB服务进程以一个单独的守候进程的方式在后台侦听是否有客户端的请求,如果有就生成一个子进程来为其服务。inetd参数表示WEB服务不是以一个单独的守候进程的形式支持。而是由Inetd这个超级服务器守候进程进行代劳,当它收到一个客户端的WEB服务请求的时候,再启动一个WEB服务进程为其服务。从功能的角度看,这两种方法几乎是相同的。但它们之间实际有很大区别,区别在于服务器的性能。一个由inted运行的服务器进程在它结束对请求服务的同时立刻退出。而在standalone模式下,子WWW服务器进程在退出之前要挂起一段时间,这就给它们提供了机会,可以重新用来服务新的请求。
在standalone模式下,不存在对每个请求启动新进程的开销,所以它的效率更高;而inetd模式被认为比standalone模式更具安全性。
Option命令有很多的参数,各个参数的意义如下所示:
·All 准许以下所有功能(MultiViews除外);
·MultiViews 准许内容协商的Multiviews;
·Indexes 若该目录下无index文件,则准许显示该目录下的文件以供选择;
·IncludesNOEXEC 准许SSI(Server-side Includes),但不可使用#exec和#include功能;
·Includes 准许SSI;
·FollowSymLinks 准许符号链接到其他目录;
·ExecCGI 准许该目录下可以使用CGI。
设置Apache虚拟主机通常有两种方案:
·基于IP的虚拟主机:这种方式需要在机器上设置IP别名,象上面的例子,在一台机器的网卡上绑定多个IP地址去服务多个虚拟主机。
·基于名字的虚拟主机:它的优势就是不需要更多的IP地址,容易配置,不需要其它软硬件,现代的浏览器大多都支持这种方式。与基于IP的虚拟主机一样,需要编辑文件
/etc/httpd/conf/httpd.conf。
【问题3】
影响安全的配置选项:
·ExecCGI选项:允许CGI程序运行;
·FollowSymLinks选项:允许用户跟随符号链接浏览;
·Includes选项:激活服务器端嵌入(SSI);
·IncludesNOEXEC选项:准许SSI,但不可使用#exec和#include功能;
·multiview选项:允许多用户浏览;
·Indexes选项:激活目录索引。
·SymLinksIfOwnerMatch:服务器仅在符号连接与其目的目录或文件的拥有者具有相同的uid时才使用它。
第 4 题
阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。
【说明】
某公司采用 100M 宽带接入 Internet,公司内部有 15 台 PC 机,要求都能够上网。另外有 2 台服务器对外分别提供 Web 和 E-mail 服务,采用防火墙接入公网,拓扑结构如图4-1所示。
图 4-1
【问题1】(2分)
如果防火墙采用NAPT 技术,则该单位至少需要申请(1)个可用的公网地址。
【问题2】(3分)
下面是防火墙接口的配置命令:
fire(config)# ip address outside 202.134.135.98 255.255.255.252
fire(config)# ip address inside 192.168.46.1 255.255.255.0
fire(config)# ip address dmz 10.0.0.1 255.255.255.0
根据以上配置,写出图4-1中防火墙各个端口的IP 地址:
e0: (2)
e1: (3)
e2: (4)
【问题3】(4分)
1.ACL 默认执行顺序是 (5) ,在配置时要遵循 (6) 原则、最靠近受控对象原则、以及默认丢弃原则。
(5)、(6)备选项
(A)最大特权 (B)最小特权 (C)随机选取
(D)自左到右 (E)自上而下 (F)自下而上
2.要禁止内网中IP 地址为198.168.46.8的PC机访问外网,正确的ACL规则是(7)
(A)access-list 1 permit ip 192.168.46.0 0.0.0.255 any
access-list 1 deny ip host 198.168.46.8 any
(B)access-list 1 permit ip host 198.168.46.8 any
access-list 1 deny ip 192.168.46.0 0.0.0.255 any
(C)access-list 1 deny ip 192.168.46.0 0.0.0.255 any
access-list 1 permit ip host 198.168.46.8 any
(D)access-list 1 deny ip host 198.168.46.8 any
access-list 1 permit ip 192.168.46.0 0.0.0.255 any
【问题4】(6分)
下面是在防火墙中的部分配置命令,请解释其含义:
global (outside) 1 202.134.135.98-202.134.135.100 (8)
conduit permit tcp host 202.134.135.99 eq www any (9)
access-list 10 permit ip any any(10)
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(2分)
(1)1
【问题2】(3分)
(2)192.168.46.1
(3)202.134.135.98
(4)10.0.0.1
【问题3】(4分)
(5)(E)自上而下
(6)(B)最小特权
(7)(D)access-list 1 deny ip host 198.168.46.8 any
access-list 1 permit ip 192.168.46.0 0.0.0.255 any
【问题4】(6分)
(8)指定外网口IP地址范围为202.134.135.98-202.134.135.100
(9)允许任意外网主机访问202.134.135.99提供的WWW服务
(10)允许任意IP数据包进出 - 试题解析:
【问题1】
网络地址和端口翻译(NAPT)是一种特殊的NAT应用,它是M:1的翻译,即用一个公有IP地址将子网中的所有主机的IP地址都隐藏起来。如果子网中有多个主机要同时通信,那么还要对端口号进行翻译,所以也称为网络地址和端口翻译(NAPT)。该方法的特点是:
·出去的数据包源地址被路由器的外部地址代替,而源端口号则被一个还未使用的伪装端口号代替。
·进来的数据包的目标地址是路由器的IP地址,目标地址是其伪装端口号,由路由器进行翻译。
如果防火墙采用NAPT 技术,则该单位至少需要申请1个可用的公网地址即可。
【问题2】
本题考查的比较简单,要求根据配置信息来进行分析。配置防火墙内、外部网卡IP的命令如下:
IP address [inside|outside|dmz] ip-addr netmask
inside代表内部网卡,outside代表外部网卡,dmz代表DMZ区域接口,ip-addr是指IP地址,netmask是子网掩码。由此可推了,防火墙各端口的IP地址分别为:
e0: 192.168.46.1
e1: 202.134.135.98
e2: 10.0.0.1
【问题3】
网络管理最重要的任务之一就是网络安全,实现网络安全的一种方法便是使用路由器提供的基于数据包的过滤功能,即访问控制列表ACL,其能在路由器接口处决定哪种类型的信息流量被转发,,哪种类型的信息流量被拒绝。在Cisco路由器中,每个访问控制列表的执行顺序是“从上到下,顺序判断”,每一条新加的列表项都被安置在访问控制列表的最后面。所以,当一个ACL建好之后,就不能通过行号删除某一指定的列表项。当需要另外增加一列表项时,只能采取删处该ACL,然后再重新建立一个新的带有一系列条件判断语句(列表项)的ACL。
在实施ACL的过程中,应当遵循如下两个基本原则:
·最小特权原则:只给受控对象完成任务所必须的最小的权限;
·最靠近受控对象原则:所有的网络层访问权限控制。
注意:所有的ACL,缺省情况下,从安全角度考虑,最后都会隐含一句deny any(标准ACL)或deny ip any any(扩展IP ACL),即默认丢弃原则。
标准访问列表的配置:
功能说明:基于源IP地址来进行判定是否允许或拒绝数据包通过(或其它操作,例如在NAT中就将是判断是否进行地址转换)。
命令格式:access-list access-list-number {permit | deny}
{source [ source-wildcard] | any }
命令解释:access-list—访问列表命令
access-list-number—访问列表号码,值为1-99
permit—允许
deny—拒绝
source—源IP地址
source-wildcard—源IP地址的通配符
any—任何地址,代表0.0.0.0 255.255.255.255
通配符:source-wildcard省略时,则是使用默认值0.0.0.0。它的作用与子网掩码是不相
同的:当其取值为1时,代表该位不关心;当其取值为0时,代表必需匹配。
禁止内网中IP 地址为198.168.46.8的PC机访问外网,正确的ACL规则:
access-list 1 permit ip 192.168.46.0 0.0.0.255 any
access-list 1 deny ip host 198.168.46.8 any
或
access-list 1 deny ip host 198.168.46.8 any
access-list 1 permit ip 192.168.46.0 0.0.0.255 any
这两者均是可以的。
【问题4】
防火墙的主要配置项如下表所示:
题中配置项及其功能描述如下:
global (outside) 1 202.134.135.98-202.134.135.100
# 指定外网口IP地址范围为202.134.135.98-202.134.135.100。
conduit permit tcp host 202.134.135.99 eq www any
# 允许任意外网主机访问202.134.135.99提供的WWW服务。
access-list 10 permit ip any any
# 允许任意IP数据包进出。
第 5 题
()(15分)
阅读以下说明,回答问题1至问题3,将解答填入答题纸对应的解答栏内。
【说明】
某公司租用了一段C 类地址203.12.11.0/24~203.12.14.0/24,如图5-1所示。其网间地址是172.11.5.14/24。要求网内所有PC 都能上网。
【问题1】(8分)
接入层交换机Switch1 的端口24为 trunk 口,其余各口属于 vlan11,请解释下列命令并完成交换机的配置。
Switch1#config terminal
Switch1(config)#interface f0/24 (进入端口24配置模式)
Switch1(config-if)# switchport mode trunk (1)
Switch1 (config-if)#switchport trunk encapsulation dotlq (2)
Switch1(config-if)# switchport trunk allowed all(允许所有VLAN 从该端口交换数据)
Switch1(config-if)#exit
Switch1(config)#exit
Switch1# vlan database
Switch1(vlan)# vlan 11 name lab01 (3)
Switch1(vlan)#exit
Switch1#config terminal
Switch1(config)#interface f0/9 (进入f0/9的配置模式)
Switch1(config-if)# (4) (设置端口为接入链路模式)
Switch1(config-if)# (5) (把f0/9分配给VLAN11)
Switch1(config-if)#exit
Switch1(config)#exit
【问题2】(3分)
以下两个配置中错误的是(6),原因是(7)。
A. Switch0 (config)#interface gigabitEthernet 0/3
Switch0 (config-if)#switchport mode trunk
Switch0 (config-if)#switchport trunk encapsulation dot1q
Switch0(config)#exit
Switch0# vlan database
Switch0(vlan)# vlan 2100 name lab02
B. Switch0 (config)#interface gigabitEthernet 0/3
Switch0 (config-if)#switchport mode trunk
Switch0 (config-if)#switchport trunk encapsulation ISL
Switch0(config)#exit
Switch0# vlan database
Switch0(vlan)# vlan 2100 name lab02
【问题3】(4分)
Switch1的f0/24口接在Switch0的f0/2口上,请根据图5-1完成或解释以下Switch0的配置命令。
Switch0(config)# interface (8) (进入虚子接口)
Switch0(config-if)# ip address 203.12.12.1 255.255.255.0 (加IP 地址)
Switch0(config-if)# no shutdown (9)
Switch0(config-if)# standby 1 ip 203.12.12.253 (建HSRP 组并设虚IP 地址)
Switch0(config-if)# standby 1 priority 110 (10)
Switch0(config-if)# standby 1 preempt (11)
答案与解析
- 试题难度:较难
- 知识点:
- 试题答案:
【问题1】(8分)
(1)设置端口为中继(或Trunk)模式(2分)
(2)设置Trunk采用802.1q格式(或dot1q)(2分)
(3)创建vlan11,并命名为lab01(2分)
(4)switchport mode access (1分)
(5)switchport access vlan11(1分)
【问题2】(3分)
(6)B (1分)
(7)trunk采用ISL格式时,vlan ID最大为1023(2分)
【问题3】(4分)
(8)vlan11(1分)
(9)开启端口(1分)
(10)设优先级(1分)
(11)设切换许可 (1分) - 试题解析:
【问题1】
本题考常查的是交换机的常规配置,如工作模式转换、链路封装协议配置、及VLAN的配置命令,具体配置命令及其功能描述如下所示:
Switch1#config terminal (进入全局配置模式)
Switch1(config)#interface f0/24 (进入端口24配置模式)
Switch1(config-if)# switchport mode trunk (设置端口为中继(或Trunk)模式)
Switch1 (config-if)#switchport trunk encapsulation dotlq (设置Trunk采用802.1q格式(或dot1q))
Switch1(config-if)# switchport trunk allowed all (允许所有VLAN 从该端口交换数据)
Switch1(config-if)#exit (退出端口配置模式)
Switch1(config)#exit (退出全局配置模式)
Switch1# vlan database (进入VLAN配置子模式)
Switch1(vlan)# vlan 11 name lab01 (创建vlan11,并命名为lab01)
Switch1(vlan)#exit (退出VLAN配置子模式)
Switch1#config terminal (进入全局配置模式)
Switch1(config)#interface f0/9 (进入f0/9的配置模式)
Switch1(config-if)# switchport mode access (设置端口为接入链路模式)
Switch1(config-if)# switchport access vlan11 (把f0/9分配给VLAN11)
Switch1(config-if)#exit (退出端口配置子模式)
Switch1(config)#exit (退出全局配置模式)
【问题2】
本题主要考查了两种链路封装协议802.1q和ISL的区别。
在交换机的Trunk 链路上,可以通过对数据帧附加Vlan信息,构建跨越多台交换机的Vlan。附加vlan信息的方法最具有代表性的有:
·ISL(inter-switch link):属于Cisco私有协议,只能在快速和千兆以太网连接中使用,isl路由可以使用在switch的端口、router的接口和服务器接口卡等。Trunk采用ISL格式时,vlan ID最大为1023。
·IEEE802.1q:俗称dot1q,由IEEE创建,在cisco和非cisco设备之间不能使用ISL必须使用802.1q。802.1q所附加的vlan识别信息位于数据帧中的源MAC地址与类型字段之间。基于IEEE802.1q附加的vlan信息,就像在传递物品时附加的标签。IEEE 802.1Q Vlan最多可支持4096个Vlan组,并可跨交换机实现。
【问题3】
本题考查了三层交换机虚拟子接口的及其参数的配置、HSRP等知识。
HSRP在以太网上,两台或多台交换机之间实现备份,这些交换机称作一个备份组。它们协同工作,在局域网上的主机看来像一台虚拟交换机。在一个备份组内,只有一台交换机承担报文转发任务,这台交换机称作活动交换机,同时存在一个主备用交换机和任意个数的备用交换机。当活动交换机出现故障后,备份交换机能够自动接管它的报文转发工作,从而提供不中断的网络服务。HSRP允许两台或多台交换机使用一台虚拟交换机的MAC和IP地址。虚拟交换机并不实际存在,它只表示一组配置的相互之间备份的交换机。
具体命令及功能描述如下所示:
Switch0(config)# interface vlan11 (进入虚子接口)
Switch0(config-if)# ip address 203.12.12.1 255.255.255.0 (加IP 地址)
Switch0(config-if)# no shutdown (启用端口)
Switch0(config-if)# standby 1 ip 203.12.12.253(开启了冗余热备份(HSRP)1组并设虚IP 地址)
Switch0(config-if)# standby 1 priority 110 (定义这个三层交换机在冗余热备份组1中的优先级为110)
Switch0(config-if)# standby 1 preempt (设置切换许可,即抢占模式)
其中,优先级的取值范围为0到255(数值越大表明优先级越高),但是可配置的范围是1到254。优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。缺省情况下,优先级的取值为100。